拓补图
1. IP地址的配置,略
2. 路由的配置
[FW1]ip route-static 0.0.0.0 0 100.1.1.1
[FW2]ip route-static 0.0.0.0 0 100.1.2.1
3. 防火墙划分区域
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/2
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/1
[FW2]firewall zone trust
[FW2-zone-trust]add interface g1/0/1
[FW2-zone-trust]add interface g1/0/2
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface g1/0/0
4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]service-manage https permit //开启网管接界面
5. 进入防火墙的WEB页面配置Ipsec vpn
ipsec的配置(FW2也一样)
6. 创建自定义服务或服务组,并进入视图,必须要配置这个,不然在安全策略中调用这个策略会报错
[FW1]ip service-set ike type object //创建自定义服务或服务组,只能添加服务作为其成员
[FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口
7. 安全策略的配置
rule name untrust-local(双向访问,所以需要允许local访问untrust区域,也需要允许untrust访问local区域)
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
source-address 100.1.1.10 mask 255.255.255.255
source-address 100.1.2.10 mask 255.255.255.255
destination-address 100.1.1.10 mask 255.255.255.255
destination-address 100.1.2.10 mask 255.255.255.255
service esp //这个一定要配置,ipsec就是使用esp封装加密的
service icmp
service ike //配置与预共享密钥
action permit
rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
source-address 10.1.2.0 mask 255.255.255.0
destination-address 10.1.1.0 mask 255.255.255.0
destination-address 10.1.2.0 mask 255.255.255.0
service esp
service icmp
service ike
action permit
8. 验证(pc1跟pc2能互通)
9. 抓包查看(icmp的包被ESP加密了) 文章来源:https://www.toymoban.com/news/detail-475855.html
文章来源地址https://www.toymoban.com/news/detail-475855.html
到了这里,关于防火墙Ipsec vpn的配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
